Kurumsal yazılım devi SAP sinsi bir saldırı dalgasıyla sarsıldı. Siber korsanlar meşru yazılım güncellemelerinin içine gizledikleri zehirli kodlarla geliştiricilerin hassas verilerini ve şifrelerini hedef aldı. Neler olduğuna yakından bakalım…
Aikido ve Socket’in raporlarına göre hackerlar tarafından ele geçirilen dört farklı SAP paketi gizlice değiştirildi. Geliştiriciler bu paketleri sistemlerine kurdukları anda gizli bir komut dosyası da çalışmaya başlıyor. Yaşanan bu olay tedarik zinciri saldırısı olarak değerlendiriliyor. Saldırganların temel amacı sistemlerin kalbine girmek ve AWS, Azure veya Google Cloud gibi bulut servislerine ait giriş anahtarlarını ele geçirmek.
Kötü amaçlı yazılım yalnızca dosyalara bakmakla yetinmiyor. Sistem belleğini de tarayarak arka planda çalışan işlemlerden gizli şifreleri çekip alıyor. Çalınan bu veriler şifrelenerek GitHub repolarına yükleniyor. İşin daha korkutucu boyutu ise yazılımın ele geçirdiği şifreleri kullanarak kendini başka paketlere de kopyalamaya çalışması. Böylece virüs gibi yayılarak daha fazla kurbana erişmek istiyor.
Güvenlik araştırmacıları saldırının arkasında TeamPCP isimli hacker grubunun olabileceğini söyledi. Çünkü aynı kod yapısı ve saldırı taktikleri daha önce farklı şirketlerin sistemlerine sızılırken de kullanılmıştı. SAP tarafındaki zafiyetin hatalı yapılandırılmış bir araçtan sızan güvenlik anahtarı yüzünden yaşandığı tahmin ediliyor. Konuyla ilgili gözler şimdi şirket yönetiminden gelecek resmi açıklamada.
